Chispa Centro de confianza RGPD Contrato de Encargado del Tratamiento (DPA) — Chispa
RGPD

Contrato de Encargado del Tratamiento (DPA) — Chispa

Versión 1.0 2026-04-24 Estado: borrador-pendiente-revision

Contrato de Encargado del Tratamiento de Datos Personales

(Data Processing Agreement — Art. 28 RGPD)

Entre:

EL RESPONSABLE DEL TRATAMIENTO (en adelante, "el Cliente" o "el Responsable")

  • Razón social: {CLIENTE_RAZON_SOCIAL}
  • CIF / NIF: {CLIENTE_CIF}
  • Domicilio: {CLIENTE_DOMICILIO}
  • Representante legal: {CLIENTE_REPRESENTANTE}
  • Email: {CLIENTE_EMAIL}

Y:

EL ENCARGADO DEL TRATAMIENTO (en adelante, "Chispa" o "el Encargado")

  • Razón social: {RESPONSABLE_NOMBRE}
  • CIF: {RESPONSABLE_CIF}
  • Domicilio: {DOMICILIO_FISCAL}
  • Representante: {RESPONSABLE_NOMBRE} ([email protected])
  • Contacto privacidad: [email protected]

Ambas partes reconocen capacidad legal suficiente y acuerdan suscribir el presente Contrato conforme al Art. 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

Cláusula 1. Objeto

El Cliente encarga a Chispa el tratamiento de datos personales necesario para la prestación de los servicios contratados en el marco del los servicios empresariales de Chispa, consistentes en la generación automatizada de clips de vídeo, publicación en canales del Cliente o de terceros autorizados por el Cliente, y generación de reportes analíticos.

Cláusula 2. Duración

Este Contrato entra en vigor en la fecha de su firma y permanecerá vigente mientras dure la relación contractual principal entre las partes. Las obligaciones de confidencialidad, devolución / supresión y auditoría subsistirán tras la extinción del contrato.

Cláusula 3. Naturaleza y finalidad del tratamiento

  • Naturaleza: tratamiento automatizado (ingesta, clipping, publicación, analítica).
  • Finalidad: producción y distribución de contenido audiovisual en canales operados o gestionados por el Cliente, y reporte de resultados.

Cláusula 4. Tipos de datos y categorías de interesados

Categoría de interesados Tipos de datos
Creadores / talento gestionados por el Cliente Nombre, email, identificador y nombre público de canal YT/TT, tokens OAuth2, métricas de rendimiento.
Personal de contacto del Cliente Nombre, email, cargo, teléfono corporativo.
Espectadores (solo datos agregados) Métricas públicas agregadas (vistas, likes) — sin datos identificativos.

Cláusula 5. Obligaciones del Encargado

Chispa se compromete a:

  1. Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable. Si Chispa considera que una instrucción infringe el RGPD, lo notificará al Responsable sin demora.
  2. Confidencialidad: garantizar que todo el personal autorizado esté sujeto a obligaciones de confidencialidad expresas (cláusulas en contratos laborales / mercantiles).
  3. Medidas técnicas y organizativas (Art. 32 RGPD): aplicar y mantener las medidas descritas en el Anexo I de este Contrato.
  4. Subcontratación: no recurrir a subencargados sin autorización previa por escrito (general o específica) del Responsable. La lista actual de subencargados autorizados figura en el Anexo II. Cualquier cambio se comunicará con 30 días de antelación, permitiendo al Responsable oponerse.
  5. Asistencia al Responsable:
  • En la atención de solicitudes de derechos (Arts. 12 a 23 RGPD), mediante medidas técnicas apropiadas (exportación de datos y función de borrado de cuenta).
  • En el cumplimiento de obligaciones de seguridad, notificación de brechas, evaluación de impacto (DPIA) y consulta previa (Arts. 32 a 36 RGPD).
  1. Notificación de brechas de seguridad: notificar al Responsable cualquier violación de datos personales en un plazo máximo de 24 horas desde que tenga conocimiento de la misma, proporcionando la información exigida por el Art. 33.3 RGPD.
  2. Devolución o supresión: a la terminación del Contrato, y a elección del Responsable, devolver o suprimir todos los datos personales tratados, y eliminar copias existentes, salvo obligación legal de conservación. Se emitirá certificado de destrucción.
  3. Auditoría: poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento. El Responsable podrá realizar auditorías (incluidas inspecciones) una vez al año con un preaviso mínimo de 15 días, o en cualquier momento tras un incidente de seguridad relevante. Los costes razonables de la auditoría los asume el Responsable, salvo que se detecten incumplimientos graves.

Cláusula 6. Subprocesadores autorizados (Anexo II — referencia)

El Responsable autoriza de forma general los siguientes subencargados:

Subencargado Servicio Ubicación Mecanismo de transferencia
Google LLC YouTube Data API, Gmail SMTP EE. UU. SCC + EU–US DPF
TikTok Inc. / ByteDance Ltd. TikTok Open API EE. UU. / Singapur / Irlanda SCC + DPA propio
Cloudflare Inc. CDN, proxy inverso, WAF EE. UU. SCC + EU–US DPF

Cláusula 7. Transferencias internacionales

Cuando el tratamiento implique transferencia de datos fuera del Espacio Económico Europeo, Chispa garantizará que se realice al amparo de Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando aplique, del marco EU–US Data Privacy Framework. Chispa facilitará copia de las garantías a requerimiento del Responsable.

Cláusula 8. Notificación de brecha de seguridad

Plazo: máximo 24 horas desde conocimiento (plazo más estricto que el de 72 h del Art. 33 RGPD, para permitir al Responsable cumplir el suyo con margen). La notificación incluirá:

  • Naturaleza de la brecha, categorías y número aproximado de afectados y registros.
  • Consecuencias probables.
  • Medidas adoptadas o propuestas.
  • Datos de contacto del equipo de respuesta.

Procedimiento interno detallado de gestión de brechas disponible bajo DPA.

Cláusula 9. Responsabilidad e indemnización

Cada parte responderá de los daños causados por el incumplimiento de sus obligaciones conforme al Art. 82 RGPD. Chispa indemnizará al Responsable por las sanciones firmes de la AEPD que traigan causa directa y exclusiva de un incumplimiento imputable al Encargado, hasta un límite equivalente a {LIMITE_RESPONSABILIDAD, p. ej. 12 mensualidades del contrato principal}.

Cláusula 10. Resolución

Son causas de resolución anticipada: (i) incumplimiento grave y no subsanado en 30 días de cualquier obligación del presente Contrato; (ii) insolvencia de cualquiera de las partes; (iii) mutuo acuerdo.

Cláusula 11. Ley aplicable y jurisdicción

Este Contrato se rige por la legislación española y por el RGPD. Las partes se someten a los Juzgados y Tribunales de {JURISDICCION — Madrid o Barcelona}, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

Anexo I — Medidas técnicas y organizativas (Art. 32 RGPD)

  • Cifrado en tránsito (TLS 1.3).
  • Cifrado en reposo de tokens OAuth (cifrado simétrico autenticado).
  • Contraseñas almacenadas con hash adaptativo cost ≥ 12.
  • MFA TOTP obligatorio para roles administrativos.
  • Rate-limit 10 intentos/hora/IP + lockout progresivo.
  • Control de acceso basado en roles (RBAC).
  • Logs de auditoría con IP y user-agent.
  • Copias de seguridad cifradas, testeadas trimestralmente.
  • Política de gestión de brechas (ver doc 04).
  • Formación anual del personal en protección de datos.
  • Revisión de código con foco en seguridad.
  • Cabeceras HSTS, CSP, X-Content-Type-Options, X-Frame-Options.
  • Cookies de sesión HttpOnly + Secure + SameSite=Strict.

Anexo II — Lista de subencargados autorizados

(Ver Cláusula 6.)

Firmado por el Responsable:

Nombre: ______________________________ Cargo: ______________________________ Fecha: ______________________________ Firma: ______________________________

Firmado por el Encargado (Chispa):

Nombre: {RESPONSABLE_NOMBRE} Cargo: Socio gestor Fecha: ______________________________ Firma: ______________________________

Próxima revisión

Este modelo de DPA se revisará cada 6 meses, o inmediatamente tras: (i) cambio normativo relevante (p. ej. nuevo marco de transferencias internacionales), (ii) incorporación / sustitución de subencargados, (iii) incidente de seguridad relevante.

Responsable: Socio gestor ({RESPONSABLE_NOMBRE}) con apoyo de asesoría legal externa. Próxima revisión programada: 2026-10-24.

¿Detectaste un error o quieres proponer una mejora? Escríbenos a [email protected] o reporta vía security.txt.